徐少小

（浙江海洋學院東?？茖W技術(shù)學院，浙江舟山 316004）

隨著計算機技術(shù)和網(wǎng)絡技術(shù)的快速發(fā)展，信息化是不可逆轉(zhuǎn)的發(fā)展趨勢，計算機網(wǎng)絡已經(jīng)成為現(xiàn)代生活不可或缺的部分。作為科學研究和人才培養(yǎng)基地的校園在今后發(fā)展過程中必然要實現(xiàn)其高信息化、高智能化發(fā)展，應該充分利用成熟的計算機網(wǎng)絡技術(shù)組建新型校園網(wǎng)絡，將學校所有的電腦聯(lián)合成為一個系統(tǒng)的數(shù)據(jù)庫，并對各類數(shù)據(jù)進行統(tǒng)一規(guī)范管理。校園網(wǎng)從最初的網(wǎng)絡簡單接入到IPv4協(xié)議網(wǎng)絡的普及應用，逐步實現(xiàn)了其智能化發(fā)展，但是我們也應該看到IPv4協(xié)議已經(jīng)逐漸顯現(xiàn)出應用的局限性，例如網(wǎng)絡地址資源的有限性，網(wǎng)絡存在安全隱患，服務質(zhì)量不高，網(wǎng)絡結(jié)構(gòu)的劃分和管理不科學等，IPv6協(xié)議網(wǎng)絡技術(shù)的日趨成熟使得IPv6協(xié)議網(wǎng)絡替代IPv4協(xié)議網(wǎng)絡在校園網(wǎng)的應用成為一種必然。中國下一代互聯(lián)網(wǎng)示范工程（CNGI工程）的啟動標志著IPv6協(xié)議網(wǎng)絡在學術(shù)互聯(lián)網(wǎng)中正式應用，是實現(xiàn)校園信息化和教育信息化的重要途徑。

1 IPv6網(wǎng)絡協(xié)議概述

1.1 IPv6網(wǎng)絡協(xié)議

IPv6網(wǎng)絡協(xié)議，又稱下一代互聯(lián)網(wǎng)協(xié)議，是因特網(wǎng)絡工程小組為解決現(xiàn)有的IPv4網(wǎng)絡協(xié)議中存在的不足而設計的下一代IP協(xié)議。IPv6網(wǎng)絡協(xié)議能從根本上解決IPv4網(wǎng)絡協(xié)議的缺陷，其網(wǎng)絡質(zhì)量、安全和移動性能夠滿足下一代集語音、數(shù)據(jù)、視頻融合于一身的通信網(wǎng)絡的高要求。通過IPv6的應用，我們不但可以快速獲取海量信息，還可以自由提供信息。與IPv4網(wǎng)絡協(xié)議相比，IPv6網(wǎng)絡協(xié)議有以下幾個明顯的優(yōu)勢：

①網(wǎng)絡地址空間大，其IP地址的長度為128，就意味著有2^128-1個地址；②路由表長度小，能大大提高路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度；③支持自動配置，網(wǎng)絡管理（尤其是局域網(wǎng)的管理）更方便、快捷；④增強版的組播支持和對流支持，提高了網(wǎng)絡服務質(zhì)量；⑤可對網(wǎng)絡層的數(shù)據(jù)進行加密并對IP報文進行校驗，網(wǎng)絡安全性能更好。

1.2 IPv6工作的主要原理

（1）通過IPv6版的路由器搜索確定移動節(jié)點的轉(zhuǎn)交地址，根據(jù)移動節(jié)點連接的位置不同具體又包括兩種情形：①當移動節(jié)點連接到家鄉(xiāng)鏈路上時，則與其他固定的主機和路由器一樣確定轉(zhuǎn)交地址。②當移動節(jié)點不是連接在其家鄉(xiāng)鏈路上，而是其他外部鏈路上時則需通過IPv6路由器的自動配置方式確定轉(zhuǎn)交地址。

（2）移動節(jié)點把已經(jīng)獲取的轉(zhuǎn)交地址通知給家鄉(xiāng)代理，在確保操作安全性的前提下，移動節(jié)點也會把轉(zhuǎn)交的地址通知給通信節(jié)點。IPv6協(xié)議采用布告的方式把獲取的轉(zhuǎn)交地址通知給家鄉(xiāng)代理或通信節(jié)點，在通知給其他節(jié)點時，IPv6是通過移動節(jié)點目的地址可選項實現(xiàn)的。

（3）數(shù)據(jù)包是通過隧道和源路由技術(shù)向鏈接在外地鏈路上的移動節(jié)點上傳送的。

①得知轉(zhuǎn)交地址的通信節(jié)點通過IPv6的選路報頭可以直接將數(shù)據(jù)包傳輸給移動節(jié)點，而無需經(jīng)過家鄉(xiāng)代理器，減少數(shù)據(jù)包傳輸時間，從而提高網(wǎng)絡速度。

②通信節(jié)點不知道轉(zhuǎn)交地址時，它和其他固定節(jié)點一樣將數(shù)據(jù)包發(fā)送到移動將節(jié)點，這時，通信節(jié)點將移動節(jié)點的家鄉(xiāng)地址放入目的IPv6地址域中，并將數(shù)據(jù)包轉(zhuǎn)發(fā)給合適的下一幀上。被發(fā)送到移動節(jié)點的家鄉(xiāng)鏈路上的數(shù)據(jù)包則被家鄉(xiāng)代理將截獲，并通過隧道將其發(fā)送到移動節(jié)點的轉(zhuǎn)交地址上。數(shù)據(jù)包被移動節(jié)點拆封并分析，如果分析出內(nèi)層數(shù)據(jù)包的目的地址是它的家鄉(xiāng)地址，則將其轉(zhuǎn)交高層協(xié)議進行處理。

（4）在相反的方向上，移動節(jié)點通過采用特殊機制路由數(shù)據(jù)包到目的地。

2. 基于IPv6的新型校園組網(wǎng)方案設計

2.1 設計框架

基于IPv6的新型校園組網(wǎng)的設計應該遵循“整體規(guī)劃，分布實施”的原則，因此，在具體討論如何設計基于IPv6的新型校園組網(wǎng)方案前，應對方案進行整體規(guī)劃。新型校園組網(wǎng)的設計即要考慮現(xiàn)實中需要的和近期達到的目標，還要為將來系統(tǒng)的進一步升級擴容留有余地?；贗Pv6的新型校園組網(wǎng)的總體設計結(jié)構(gòu)如圖1所示。

基于IPv6的新型校園組網(wǎng)是由許多系統(tǒng)構(gòu)建組成，通信基礎設施保證了計算機網(wǎng)絡承載平臺和物理層，其次計算機網(wǎng)絡為教育應用提供了信息傳輸與交換的平臺，支撐網(wǎng)絡與應用則是由運行管理體系和安全保障體系提供的。

2.2 網(wǎng)絡層次分配

在現(xiàn)階段的網(wǎng)絡設計中，大多采用TCP/IP體系結(jié)構(gòu)，其網(wǎng)絡層次可以劃分為核心層、匯聚層和接入層三個層次。①核心層，顧名思義是網(wǎng)絡設計的中堅層次，是核心設備層。核心設備在設計時應具備全線速轉(zhuǎn)發(fā)流量的功能，能夠?qū)W(wǎng)絡起到負載分擔、路由控制等功能，所以要求了核心設備需要有高帶寬鏈路，多樣的冗余特性和豐富的路由功能等特點，這是由核心層在校園網(wǎng)中的地位和功能決定的。②匯聚層，位于核心層與接入層之間，是三個層次的中間層次。匯聚層在校園網(wǎng)中的主要作用是承擔匯聚并控制用戶流量，ACL限制，負載均衡，路由策略的選擇等，一般是主干網(wǎng)絡的邊緣。同時，匯聚層作為用戶IP子網(wǎng)的缺省網(wǎng)關(guān)，負載比其他層次要重得多。③接入層，是網(wǎng)絡的末端層，與用戶的PC機直接相連，承擔穩(wěn)定轉(zhuǎn)發(fā)用戶流量的功能。

盡管目前許多學校的校園網(wǎng)使用的是典型的TCP/IP網(wǎng)絡體系結(jié)構(gòu)，但是其中很多一部分學校使用的匯聚設備都不支持IPv6協(xié)議，因此，IPv6協(xié)議不能通過路由到達核心轉(zhuǎn)換機。這就需要在實踐中實現(xiàn)IPv4協(xié)議向IPv6協(xié)議的過度，對此，我們可以考慮從以下幾個方面著手：在原來的網(wǎng)絡區(qū)域里通過透傳模式把VLAN TRUNK接入到剛建成的IPv6協(xié)議網(wǎng)絡里；在剛建成的網(wǎng)絡區(qū)域中采用雙棧模式用路由的方式接入核心IPv6協(xié)議網(wǎng)絡；對于相對獨立的教職工宿舍和學生寢室可以采用隧道模式接入IPv6協(xié)議網(wǎng)絡，這樣就實現(xiàn)了IPv6協(xié)議網(wǎng)絡對整個校園網(wǎng)的控制和管理。2.3IPv6子網(wǎng)設計和路由設計

圖1 基于IPv6的新型校園組網(wǎng)的總體設計結(jié)構(gòu)圖Fig.1 IPv6 block diagram of the overall new campus networking

（1）IPv6子網(wǎng)設計

為方便闡述基于IPv6的新型校園組網(wǎng)，本文在此設計一個比較簡單的IPv6子網(wǎng)，該子網(wǎng)是在某教學大樓成立的能夠支持超過2000個用戶的IPv6子網(wǎng)。該教學大樓的IPv6子網(wǎng)與整個學校匯接中心由核心交換機RG8610連接，路由選擇的是靜態(tài)路由方式，采用有狀態(tài)的IPv6 DHCP地址分配技術(shù)獲取子網(wǎng)地址。圖2所示為Pv6子網(wǎng)網(wǎng)絡拓撲圖。

（2）IPv6路由設計

IPv6協(xié)議網(wǎng)絡有兩種類型的路由，即單播IPv6路由和組播IPv6路由?；贗Pv6的校園組網(wǎng)的路由的設計應該充分考慮其所面向的用戶，即用戶的使用習慣、方便校園網(wǎng)絡中心統(tǒng)一管理、協(xié)議支持的廣泛性以及現(xiàn)今主流的網(wǎng)絡應用模式等相關(guān)因素。下面將對這兩種路由的設計分別予以說明：

①單播IPv6路由設計。校園網(wǎng)IPv6單播的路由設計可以采用靜態(tài)路由與OSPFv3相結(jié)合的方式，通過這種方式實現(xiàn)路由的冗余，以此簡化校內(nèi)網(wǎng)業(yè)務子網(wǎng)帶來的管理程序，降低管理難度，也可以減少維護校園網(wǎng)的費用和開銷。

②組播IPv6路由設計。IPv6協(xié)議網(wǎng)絡配有大量的組播地址空間，因而能很好地支持組播。目前，許多學校都開始大規(guī)模的開展IPTV、視頻點播活動，大大拓展了組播技術(shù)的應用空間，這也能在很大程度上推動IPv6協(xié)議網(wǎng)絡技術(shù)在校園網(wǎng)上的應用。新型校園組網(wǎng)設備的核心、匯聚、接入都采用支持IPv6技術(shù)的設備，同時，通過IPv6組的形式發(fā)送組播源的組播數(shù)據(jù)，再根據(jù)校園網(wǎng)絡規(guī)模大小采用不同的部署方式，例如在小范圍內(nèi)科采用IPv6 PIM-DM的部署方式，以便方便管理網(wǎng)絡系統(tǒng)。

圖2 IPv6子網(wǎng)網(wǎng)絡拓撲圖Fig.2 IPv6 subnet network topology diagram

3 IPv6校園網(wǎng)網(wǎng)絡安全規(guī)劃

隨著校園網(wǎng)應用功能的增加，網(wǎng)絡受到攻擊的次數(shù)越來越多，因此，在建設IPv6校園網(wǎng)時，我們需要重點關(guān)注網(wǎng)絡的安全問題。對此，我們可以通過CPP保護機制和網(wǎng)絡訪問控制兩種方法予以解決網(wǎng)絡安全問題。

（1）CPP保護機制。CPP保護機制是指通過流分類和優(yōu)先級分級對傳輸給交換機CPU的數(shù)據(jù)進行處理，并限制CPU的寬帶速度，確保CPU負載安全，從而為用戶提供穩(wěn)定的網(wǎng)絡環(huán)境。另一方面，在CPP基礎上，通過雙重過濾機制來降低其管理板被攻擊點幾率，所謂的雙重過濾機制，就是指交換機的線卡首先對數(shù)據(jù)進行一級過濾，然后再由管理板進行二級過濾，使其最大程度保護管理板的CPU資源，從而保障網(wǎng)絡的安全。

（2）網(wǎng)絡訪問控制（NAC）。網(wǎng)絡訪問控制是指通過驗證身份、保障主機健康性、保障網(wǎng)絡安全性等多全方位安全保障，從而行之有效的管理校園網(wǎng)內(nèi)的用戶。這一系列措施的得以實施，可以合法化校園內(nèi)網(wǎng)用戶身份ID，健康化上網(wǎng)主機安全狀況，安全化網(wǎng)絡通信，以及規(guī)范化用戶網(wǎng)絡訪問行為。

4 結(jié)束語

各地的IPv6駐地網(wǎng)建設正在如火如荼地進行著。盡管現(xiàn)在還是IPv4與IPv6共存的時代，但是隨著IPv6技術(shù)理論的成熟，實踐操作經(jīng)驗的豐富，作為下一代互聯(lián)網(wǎng)采用的核心協(xié)議的IPv6協(xié)議網(wǎng)絡最終將占領信息網(wǎng)絡市場是必然的發(fā)展趨勢。作為CERNET2的絕對主力，高校校園網(wǎng)是IPv6協(xié)議網(wǎng)絡研究與應用的前沿陣地，校園網(wǎng)部署IPv6的成功經(jīng)驗將會對IPv6網(wǎng)絡建設起到巨大示范和推動作用，同時為中國的下一代互聯(lián)網(wǎng)產(chǎn)業(yè)帶來更大領先機會。本文通過基于IPv6的新型校園組網(wǎng)策略的研究與分析，希望對校園網(wǎng)絡建設提供粗淺的理論指導。

[1]羅輝瓊,聶瑞華,鄭 凱.基于IPv6的校園網(wǎng)升級研究[J].計算機技術(shù)與發(fā)展,2010,20(3):132-135.

[2]秦 艷,黃 萌.基于IPv6的下一代移動性網(wǎng)絡關(guān)鍵技術(shù)[J].山東水利職業(yè)學院院刊,2006(1).

[3]王相林.IPv6技術(shù)新一代網(wǎng)絡技術(shù)[M].北京:機械工業(yè)出版社,2008:12-56.

[4]張?zhí)煸?IPv6技術(shù)及其在校園網(wǎng)的部署[J].信息技術(shù),2007,35(1):25-26.

[5]張宏科,蘇 偉.IPv6路由協(xié)議棧協(xié)議棧原理與技術(shù)[M].北京:北京郵電大學出版社,2006:50-125.